ІТ-специалистам нужны права локального администратора на корпоративных устройствах, чтобы устанавливать программное обеспечение, изменять настройки конфигурации, исправлять ошибки и т.д. Но зачастую бизнес-пользователи также получают права локального администратора на своих компьютерах.
Хотя предоставление пользователям таких прав может быть удобным, оно создает серьезные пробелы в безопасности. Прежде всего, сами пользователи могут специально устанавливать несанкционированные программы или изменять настройки для оптимизации своей работы без достаточного понимания рисков для безопасности, которые они могут создавать. Кроме того, любой пользователь может стать объектом атаки социальной инженерии – например, открыть вредоносное вложение или перейти по вредоносной ссылке в фишинговом электронном письме. Но если пользователь имеет права локального администратора, он может ненамеренно установить вредоносное программное обеспечение, которое потенциально может захватить или использовать эти права для кражи данных или нанесения другого ущерба.
Соответственно, лучшей практикой является удаление прав локального администратора у бизнес-пользователей на каждом компьютере. Вот 4 шага, которые нужно сделать, чтобы внедрить эту базовую практику безопасности.
Шаг 1: Узнать, кто имеет права локального администратора.
Первым шагом является определение всех пользователей, обладающих правами локального администратора на каждом сервере и компьютере. В системе Windows пользователи получают права локального администратора через членство в группе Local Administrators одним из следующих способов:
- Прямое членство в группе: учетная запись пользователя указана как член группы.
- Непрямое (вложенное) членство в группе: аккаунт пользователя является членом другой группы, а эта группа является членом группы Local Administrators.
В общем, желательно избегать вложенного членства в привилегированных группах, поскольку это затрудняет определение того, кто имеет привилегированные права доступа.
К сожалению, нет встроенных инструментов, которые могут предоставить полный список локальных администраторов на каждой системе в ІТ-инфраструктуре. Однако посторонние решения, такие как Netwrix Privilege Secure, могут предоставить полную информацию о составе каждой из привилегированных групп, включая группы локальных администраторов на серверах и рабочих станциях Windows. Кроме того, Netwrix Privilege Secure будет проводить аудит всех изменений в привилегированных группах и предупреждать о подозрительной активности.
Шаг 2: Поручить владельцам групп пересмотреть и удостоверить членство в группе.
Следующим шагом будет определение владельца каждой локальной группы администраторов. Это может быть сложной задачей, поэтому следует рассмотреть возможность использования решения, которое может автоматически определять предполагаемых владельцев групп.
Затем владелец каждой группы должен тщательно просмотреть ее состав, чтобы удалить права доступа локальных администраторов, которые не требуются для уменьшения площади поверхности атаки организации. Этот процесс просмотра и аттестации следует повторять на регулярной основе.
Шаг 3. Убедиться, что у каждой учетной записи локального администратора есть уникальный пароль.
Во многих организациях стандартная учетная запись локального администратора на каждом устройстве Windows имеет одинаковое имя пользователя и пароль. Таким образом, злоумышленник, получающий эти учетные данные только на одном компьютере, имеет административный доступ к каждому компьютеру, поэтому он может свободно перемещаться внутри домена.
Корпорация Microsoft предлагает решение Windows Local Access Password Solution (LAPS), которое поможет разобраться с этой проблемой. LAPS гарантирует, что каждый компьютер в домене имеет уникальный пароль для аккаунта локального администратора, а также автоматически будет изменять пароль локального администратора через заданный интервал времени. LAPS можно развернуть с помощью групповой политики или Intune.
Шаг 4: Предоставить пользователям и администраторам возможность безопасно выполнять необходимые задачи.
Принцип наименьших привилегий является краеугольным камнем безопасности. Он заключается в том, что каждый пользователь должен иметь только те привилегии, которые необходимы для выполнения своей работы. Ограничение прав локальных администраторов является важным шагом в реализации принципа наименьших привилегий, но и администраторам, и бизнес-пользователям иногда нужно выполнять задачи, требующие этих прав.
С помощью встроенных функций Windows можно разрешить администраторам входить на компьютер с непривилегированной учетной записью, а затем использовать опцию «запуск от имени администратора» для выполнения любых задач, требующих повышенных прав. Однако такой подход все равно требует постоянных аккаунтов администратора. Понятно, что они могут быть использованы не по назначению владельцами и скомпрометированы злоумышленниками. Хорошей альтернативой является использование специального решения для управления привилегированным доступом (PAM). Такое решение должно заменять постоянные привилегированные учетные записи на учетные записи по требованию, имеющим доступ, достаточный для выполнения текущего задания. К тому же, они должны автоматически удаляться после его выполнения. В результате почти не останется постоянных административных аккаунтов, о которых нужно беспокоиться.
Чтобы разрешить бизнес-пользователям обходить UAC-запросы и запускать необходимые им программы без предоставления прав локального администратора, следует рассмотреть использование Netwrix Endpoint Policy Manager. Это мощное решение также может предотвратить загрузку или установку программ-вымогателей и других нежелательных исполняемых файлов.
Вывод
Строгий контроль привилегированного доступа является жизненно важным во избежание утечек, которые дорого обойдутся компании, простоев и штрафов за нарушение нормативных требований. С помощью правильных инструментов появляется возможность забрать права локального администратора у бизнес-пользователей, не влияя на их способность выполнять свою работу, что уменьшит площадь атак.
